Если вы не видите здесь изображений, то используйте VPN.

пятница, 24 марта 2017 г.

BTCWare

BTCWare Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 (шифруются куски менее 1 Кб), а затем на странице Tor-сайта требует выкуп в 0.5 биткоинов, чтобы вернуть файлы. Оригинальное название.

Позже (в последующих версиях) стало использоваться шифрование AES-192 или AES-256. См. ниже ссылки на отдельные статьи, отражающие развитие этого вредоносного ПО, пошедшего по рукам. 
BTCWare Ransomware
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация под изображение биткоинов (англ. BTC) в чёрном цвете.

© Генеалогия: CrptXXX > BTCWare

К зашифрованным файлам первых версий добавлялось расширение .btcware

В новых версиях использовались следующие расширения:
.cryptobyte в шаблоне .[<email>].cryptobyte
.cryptowin в шаблоне .[<email>].cryptowin
.theva в шаблоне .[<email>].theva
.xfile в шаблоне .[<email>].xfile
.onyon в шаблоне .[<email>].onyon
.blocking в шаблоне .[<email>].blocking
.master в шаблоне .[<email>].master 
.aleta в шаблоне .[<email>].aleta
.gryphon в шаблоне .[<email>].gryphon
.nuclear в шаблоне .[<email>].nuclear и .[<email>]-id-<id>.nuclear
.wyvern в шаблоне .[email]-id-<id>.wyvern 
.payday в шаблоне .[<email>]-id-<id>.payday




BTCWare Family (семейство BTCWare):
BTCWare Original: .btcware, .cryptobyte, .cryptowin, .theva
BTCWare other progeny: .xfile, .blocking, .encrypted, .crypton
BTCWare-Onyon: .onyon
BTCWare-Master: .master
BTCWare-Aleta: .aleta
BTCWare-Gryphon: .gryphon и другие
BTCWare-Nuclear: .nuclear
BTCWare-Wyvern: .wyvern
BTCWare-PayDay: .payday, .shadow, .wallet




Активность первых версий этого крипто-вымогателя пришлась на конец марта 2017 г. 
Фактически действовал с ноября 2016 года, оставаясь прошедшее время неидентифицированным. 
Ориентирован на англоязычных и испаноязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
#_HOW_TO_FIX_!.hta и READ ME.txt


Содержание текстовой записки о выкупе:
Hi, I infiltrate your system in your system Small Diameter I found Open and TIM encrypted files in Figure I Kirilmiycak
Password we have created as a term of 12 Eger Clock Transformation yapilmass encrypt with the self-destruction of my files to edicem
You've done a nonsense question why not check mail asking why he did how did you throw your silly hair mails
alamiycaks answer your funny figures do not offer you just specify your e-mail us to dispose of sufficient olucam REFERENCE NUMBERS
We determined we price according to price your reference number that you go to the center belirtcez verikurtar olucaktir reason to spend anchor bose
geзmiyce is a sheer waste of time on your hands like I said, when we chose has nonetheless self-destruct after 12 hours to edicem
ediceks payment receiving, we have time to continue where the old scale leakage and a taller one thing you will certainly basia gelmiyce
aзiginizi security laws in something you do not taller than the one that you said belirticez after 30 minutes after receiving the payment system
olucaktir as you suspected it before we olmasin mail address
    Best regards

Hola He encontrado en su sistema, que infiltrarse en su sistema en el pequeño diámetro y tum archivos cifrados en la Figura I Kirilmiycak
Contraseña hemos creado como un término de 12 cifrar Eger Reloj Transformación yapilmass con la autodestrucción de mis archivos a edicem
Usted ha hecho una pregunta sin sentido por qué no comprobar el correo preguntando por qué no ¿cómo lanzar su correo electrónico para el cabello tontas
divertidas figuras no ofrecen respuestas a sus alamiycaks lo suficiente nos olucam proporcionar su dirección de correo electrónico que pone a cabo la cuerda
cuerda establecido de acuerdo con el precio que tenemos que ir a Dresde ese precio belirtcez verikurtar la razón olucaktir centro de anclaje para pasar Bose
geçmiyce es una pura pérdida de tiempo en sus manos, como he dicho, cuando elegimos tiene, no obstante, se autodestruyen después de 12 horas a edicem
ediceks de recibir el pago, tenemos tiempo para seguir donde el viejo fugas escala y uno más alto que se quiere gelmiyce duda Basia
las leyes de seguridad açiginizi en algo que se hace no más alto que el que usted ha dicho belirticez después de 30 minutos después de recibir el sistema de pago
olucaktir como usted sospechaba que antes de que olmasin correo electrónico
    saludos
yedekveri258@gmail.com
yedekveri258@gmail.com
REFERANS NUMARANIZ:02

Перевод записки на русский язык:
Привет, я проник вашу систему в вашу систему... Я нашел открытые файлы и зашифровал...
Пароль, который мы создали как срок действия 12 часов...
Вы сделали бессмысленный вопрос, почему бы не проверить почту, спрашивая, почему он сделал, как вы бросили свои глупые письма...
Ответьте на ваши смешные цифры, не предлагайте вам просто указать свой адрес электронной почты нам, чтобы избавиться от достаточного количества...
Мы определили, что мы оцениваем цену в соответствии с ценой вашего ссылочного номера, который вы отправляете в центр...
Это пустая трата времени на ваших руках, как я уже сказал, когда мы выбрали, тем не менее, самоуничтожение через 12 часов до получения платежей, у нас есть время, чтобы продолжить, когда старая утечка по шкале и более высокая вещь, которую вы, безусловно, будете использовать.
Законы безопасности в чем-то, что вы не выше, чем тот, который вы сказали через 30 минут после получения платежной системы
Как вы подозревали, прежде чем мы отправим почтовый адрес
    С наилучшими пожеланиями
yedekveri258@gmail.com
yedekveri258@gmail.com
REFERANS NUMARANIZ:02

Несмотря на то, что эти бредовые записки написаны на английском и испанском, в них присутствуют турецкие слова, которые правильно не будут переведены. 



Технические детали

Распространяется с помощью атак по RDP, также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Уничтожает или скрывает файлы на несистемных дисках. 
На всех дисках оставляет записки READ ME.txt
ID жертвы BTCWare - это ключ AES, зашифрованный c RSA, а затем base64.

Удаляет теневые копии файлов. Отключает восстановление загрузки системы и точки восстановления.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#_HOW_TO_FIX_!.hta
READ ME.txt
mfskskfkls.exe
<ransom>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://vp6cnu4cw7fnc4z5.onion.to
xxxx://dokg5gcojuswihof.onion.to
yedeksecurty@gmail.com
yedekveri258@gmail.com
Telegram: @decryps
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 апреля 2017:
Email: lineasupport@protonmail.com

Обновление от 19 апреля 2017:
Пост на форуме >>
Расширения: .cryptobyte
.[no.xm@protonmail.ch].cryptobyte
Email: no.xm@protonmail.ch
Записка: #_HOW_TO_FIX.inf
➤ Содержание записки:
All your files have been encrypted
If you want to restore them, write us to the e-mail: no.xm@protonmail.ch
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 10Mb
Attention!
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
Your ID:
OJtKiIc9ssVEIfoNoxj***

Обновление от 26 апреля 2017:
Пост в Твиттере >>
Шифрование: RC4 (куски менее 1 Кб)
Расширения: .cryptobyte
.[no.btc@protonmail.ch].cryptobyte
.[decrypts@protonmail.com].cryptobyte
Записка: #_HOW_TO_FIX.inf
Файл: czsdxxs.exe
Email: no.btc@protonmail.ch
decrypts@protonmail.com
Результаты анализов: VT

Обновление от 3 мая 2017:
Пост на форуме >>
Майкл Джиллеспи сделал дешифровщик для некоторых версий. 

Обновление от 3 мая 2017:
Пост в Твиттере >>  Ещё >> Ещё >>
Шифрование: AES-192 (куски менее 1 Кб)
Расширения: .cryptowin
.[no.btc@protonmail.ch].cryptowin
.[decrypter@protonmail.ch].cryptowin
Записка: #_HOW_TO_FIX.inf
Email: no.btc@protonmail.ch
decrypter@protonmail.ch
Результаты анализов: HA+VT // HA+VT
Текст записки:
All your files have been encrypted
If you want to restore them, write us to the e-mail: decrypter@protonmail.ch
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 10Mb
Attention!
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 3 days - your key has been deleted and you cant decrypt your files
Your ID: ieysrELVybpaeGIZQzZc9vG83S227rePFzoHpLcPxHL0CqxdcAMMh+tn/MXWAcMzRyL+M9Xz11+res3iQfiZVagDnFAnx7CJh8YKwVh6Jqa9s6yFfRl0IRDtu/oEHRW1uE+Fbr7owYjyGt/FLtRjdf+tQ2pTZ7PcX8qHpSoufZg=


Обновление от 9 мая 2017:
Пост в Твиттере >> 
Шифрование: AES-192 (куски менее 1 Кб)
Расширение: .theva
Составное расширение: .[sql772@aol.com].theva
Email: sql772@aol.com
Записка: #_README_#.inf
Результаты анализов: HA+VT

Обновление от 15 мая 2017:
Шифрование: RC4 (только первые 10 Мб)
Расширение: .onyon
Шаблон расширения: .[<email>].onyon
Записка: !#_DECRYPT_#!.inf
Email: decrypter@onyon.su
tk.btcw@protonmail.ch
См. статью Onyon Ransomware

Обновление от 25 мая 2017:
Пост в Твиттере >> 
Расширение: .xfile
Шифрование: RC4 (только первые 10 Мб)
Записка: !#_DECRYPT_#!.inf

Обновление от 6 июня 2017:
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .blocking
Шаблоны расширений: .[avalona.toga@aol.com].blocking
.[3bitcoins@protonmail.com].blocking
Email: avalona.toga@aol.com
Записка: !#_RESTORE_FILES_#!.inf
Тема поддержки >>
Результаты анализов: HA+VT

Обновление от 26 июня 2017:
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .master 
Составное расширение: .[westbleep@india.com].master 
Записка: !#_RESTORE_FILES_#!.inf
Email: westbleep@india.com
См. статью Master Ransomware

Обновление от 2 июля 2017:
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .aleta
Составное расширение: .[black.mirror@qq.com].aleta
Записка: !#_READ_ME_#!.inf
Email: black.mirror@qq.com
См. статью Aleta Ransomware

Обновление от 4 июля 2017:
Пост в Твиттере >>
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .master
Составное расширение: .[darkwaiderr@cock.li].master
Записка: !#_RESTORE_FILES_#!.inf
Email: darkwaiderr@cock.li
Файл:  zeifjozej.exe
Результаты анализов: VT
См. статью Master Ransomware

Обновление от 19 декабря 2017:
Расширение: .cryptowin
Шаблон расширения: .[no.btc@protonmail.ch].cryptowin
Файл: <random>.exe
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare)
 Write-up, Topic of Support + ранний инцидент
 * 
 Thanks: 
 MalwareHunterTeam‏, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 Karsten Hahn, David0353
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

LK Encryption

LK Encryption Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название: LK Encryption. Другое указано на файле: EncryptTest. Фальш-копирайт: Microsoft 2017.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> LK Encryption

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
READ_IT.txt
HELLO_FROM_HACKER.txt




Содержание записки о выкупе:
Files has been encrypted with LK Encrypter
Send me something makes me happy to decrypt your files
Don't worry, this is just a test. Here is the password for decryptor:
xxxx://test.langkhach.org:7443/api/encrypt/

Перевод записки на русский язык:
Файлы были зашифрованы LK Encrypter
Отправь что меня порадует для расшифровки твоих файлов
Не волнуйся, это всего лишь тест. Вот пароль для декриптора:
xxxx://test.langkhach.org:7443/api/encrypt/

Пока тестовая версия, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
HELLO_FROM_HACKER.txt
password.txt
Encrypt.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 23 марта 2017 г.

DarkLocker

DarkLocker Ransomware

Monument Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,15 - 0,20 биткоинов, чтобы вернуть файлы. Оригинальное название. Другое название Monument, а на файле указано RTInstaller. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных и испаноязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа выступает экран блокировки. 

В правой части экрана надпись "NSFW image here" закрывает изображение неприличного содержания. Дословно аббревиатура NSFW означает "Not Safe For Work" (Небезопасно для работы), проще говоря, там порнокартинка.  

Содержание текста  о выкупе:
STOP WATCHING PORN! YOUR FILES ARE ENCRYPTED! READ THE INSTRUCTIONS. 
PARE DE VER PORNOGRAFIA. SUS ARCHIVOS ESTAN ENCRIPTADOS. LEE LAS INSTRUCCIONES
En espanol mas abajo:
Your Files Have Been Encrypted and Your Computer Has Been Locked. You must pay .15 Bitcoins within 24 hours or .20 Bitcoins after 24 hours.
Your Bitcoin Payment address is: 1P67AghL2mNLbgxLM 19oJYXgsJxyLfcYiz
After 48 hours all the files and the operating system on your computer will be erased if you have not paid.
Once the payment is received your files will be unlocked and everything will return to normal. The virus will delete itself and not return.
The computer will recognize the payment within 10 minutes and unlock your files or you can click the unlock button to do it faster.
The virus will delete 1 to 5 files at random every hour until you pay or it will delete everything in 48 hours.
If you do not have Bitcoins visit www.LocalBitcoins.com or find a Bitcoin ATM at www.CoinAtmRadar.com
If you use local Bitcoins you can find local Bitcoin sellers that will meet you or offer bank deposit payments.
If there are no local sellers search for Western Union and MoneyGram sellers.
Place the offer to put your coins in Escrow and follow their payment instructions.
Once they receive payment they will release the coins to you.
Then send the coins to your payment address:
1P67AghL2mNLbgxLM 19oJYXgsJxyLfcYiz
so your computer and files can be unlocked. 
//////////
Se han cifrado los archivos y se ha bloqueado el equipo.
Debe pagar .15 Bitcoins en 24 horas o .20 Bitcoins despues de 24 horas.
Su dirección de pago de Bitcoin es 1P67AghL2mNLbgxLM19oJYXgsJxyLfcYiz
Despues de 48 horas todos los archivos y el sistema operativo en su computadora serán borrados si usted no ha pagado.
Una vez que el pago se recibe sus archivos se desbloquearan y todo volverá a la normalidad.
El virus se borrara y no volverá. La computadora reconocerá el pago dentro de 10 minutos y desbloqueara sus archivos.
O puede hacer dic en el boton de desbloqueo para hacerlo mas rápido.
El virus borrara de 1 a 5 archivos al azar cada hora hasta que pague o eliminara todo en 48 horas.
Si no tiene Bitcoins visite vyww.LocalBitcoins.com o encuentre un cajero automático de Bitcoin en www CoinAtmRadar.com
Si utiliza Bitcoins local, puede encontrar vendedores locales de Bitcoin que le atenderan o ofrecerán pagos de deposito bancarío...
-----
You have not paid. Your computer and files will remain locked. You send send payment to the address above No has pagado. El equipo y los archivos
permanecerán bloqueados Hasta que usted envíe el pago a la dirección arriba.

Перевод текста на русский язык:
ПЕРЕСТАНЬТЕ СМОТРЕТЬ ПОРНО! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! ЧИТАЙТЕ ИНСТРУКЦИИ.
Ваши файлы были зашифрованы, а ваш компьютер заблокирован. Вы должны заплатить 0.15 биткоинов за 24 часа или 0.20 биткойнов через 24 часа.
Ваш биткойн-адрес для оплаты: 1P67AghL2mNLbgxLM 19oJYXgsJxyLfcYiz
Через 48 часов все файлы и операционная система на вашем компьютере будут удалены, если вы не заплатили.
Как только платеж будет получен, ваши файлы будут разблокированы, и все вернется к норме. Вирус удалит себя и не вернется.
Компьютер распознает платеж в течение 10 минут и разблокирует ваши файлы, или вы можете нажать кнопку разблокировки, чтобы сделать это быстрее.
Вирус удаляет от 1 до 5 файлов наугад каждый час, пока вы не заплатите, или он удалит все за 48 часов.
Если у вас нет биткоинов, посетите www.LocalBitcoins.com или найдите биткойн-банкомат на сайте www.CoinAtmRadar.com
Если вы используете локальные биткоины, вы можете найти местных продавцов биткоинов, которые будут вам предлагать банковские депозитные платежи.
Если местные продавцы не ищут продавцов Western Union и MoneyGram.
Разместите оферту, чтобы положить ваши монеты в Escrow и следовать их платежным инструкциям.
Как только они получат оплату, они выпустят вам монеты.
Затем отправьте монеты на свой платежный адрес:
1P67AghL2mNLbgxLM 19oJYXgsJxyLfcYiz
После этого ваш компьютер и файлы могут быть разблокированы.
-----
Вы не заплатили. Ваш компьютер и файлы останутся заблокированными. Отправьте платеж по указанному выше адресу. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
can.exe
winlk.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 22 марта 2017 г.

Руководство для пострадавшего

Первые шаги после атаки шифровальщика


Руководство для пострадавшего от вымогателей


   Атаки шифровальщиков являются уникальными во многих отношениях. При этом многие экстренные меры, которые обычно хороши при работе с заражением ПК другими вредоносными программами, могут ухудшить ситуацию при работе с крипто-вымогателями. Пожалуйста, изучите следующие шаги как руководство для пострадавшего при заражении ПК крипто-вымогательской инфекцией.

1. Самостоятельно не удаляйте файлы вымогательской инфекции!
Пострадавшие стремятся сразу удалить инфекцию. В данном случае это неправильно. В большинстве случаев требуется сначала найти исполняемый файл крипто-вымогателя, чтобы выяснить какой шифровальщик зашифровал файлы. Изучение вашего случая будет невозможно, если вы удалили инфекцию и не можете предоставить файлы для её изучения. Правильным решением считается отключение запуска инфекции с корректировкой её записи в Автозагрузке системы, создание дампа памяти процесса вредоноса и нейтрализация инфекции. В этих случаях важно не очищать карантин антивируса и не удалять вредоносные файлы без запаковки их резервных копий в архив с паролем. 

2. Немедленно отключите программы оптимизации и очистки!
Многие вымогатели хранят необходимые файлы в папке для временных файлов. Если вы обычно используете утилиты очистки и оптимизации, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk, Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic и пр., то сразу после атаки шифровальщика не используйте эти инструменты и убедитесь в отсутствии их автоматических задач, выполняемых по расписанию. Иначе эти приложения могут удалить из вашей системы файлы шифровальщика, которые нужны для изучения инфекции и восстановления данных. После решения проблемы с зашифрованными файлами можно возобновить работу этих программ.

3. Создайте резервную копию ваших зашифрованных файлов!
Некоторые крипто-вымогатели скрывают свои временные файлы и "полезные нагрузки", которые будут удалять и затирать зашифрованные файлы через определенные промежутки времени. Дешифровщики от вымогателей также не могут быть абсолютно точны, т.к. крипто-вымогатели часто обновляются своими создателями, имеют недостатки в работе и могут повредить файлы в процессе дешифровки. В таких случаях зашифрованная резервная копия может оказаться лучше, чем отсутствие резервного копирования всех файлов. Поэтому мы настоятельно рекомендуем вам создать резервную копию ваших зашифрованных файлов прежде, чем пробовать дешифровку или ещё что-то предпринять.

4. Выясните и закройте точку входа на пострадавший сервер!
Происходит довольно много компрометаций серверов. Обычно для этого используется брут-форсинг паролей пользователей через RDP (Удаленный рабочий стол). Рекомендуем вам проверить журналы событий на наличие большого числа попыток входа в систему. Если обнаружите в журнале событий такие или даже пустые записи, то ваш сервер точно был взломан с помощью RDP. Немедленно измените все пароли учётных записей пользователей. Отключите RDP или же смените порт. Проверьте все учётные записи на сервере, чтобы убедиться, что злоумышленники не создают какие-то теневые аккаунты, которые позволят им позже вновь провести атаку и получить доступ к системе.

5. Выясните, какой шифровальщик атаковал ваш ПК!
Очень важно определить каким шифровальщиком был атакован компьютер. Для этого будет полезен этот сайт "Шифровальщики-вымогатели", где ежедневно описываются на русском языке все актуальные и обнаруженные крипто-вымогатели, и мультиязычный онлайн-сервис ID Ransomware, который позволяет загрузить записку о выкупе и зашифрованный файл для идентификации отдельных шифровальщиков и целых семейств. По результатам идентификации сервис выдаёт ссылку на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. Таким образом, получив необходимую информацию, вы сможете ускорить процесс возвращения своих файлов.

6. Поищите и сохраните исполняемые файлы вредоноса
Очень важно для ваших зашифрованных файлов найти исполняемые файлы вредоноса. Для этого будет полезна моя краткая статья "Где прячутся вредоносы". Предварительно включите показ скрытых файлов и папок. Затем просмотрите все эти директории и, найдя в них exe, js, vbs и прочие подозрительные файлы, заархивируйте их в разные архивы с паролями "virus". Но ни в коем случае НЕ ЗАПУСКАЙТЕ ЭТИ ФАЙЛЫ, чтобы посмотреть, что это такое!!! Собранные файлы желательно предоставить для изучения специалистам. Я рекомендую для этого специальную форму для отправки вредоносов на сайте BleepingComputer. Перевод этой формы на русский язык вам в помощь. 


7. Не удаляйте все записки о выкупе, чтобы вам не советовали!!! 
Оставьте хотя бы одну, если все они одинаковые и содержат один и тот же ID, ключ или что-то ещё. Если попадутся записки с разным текстом о выкупе или с разными ID (набор цифр и букв), то скопируйте все разные файлы записок, не поленитесь, это в ваших же интересах. Если записки различаются друг от друга хоть чем-то, не перемещайте их из тех папок, где они находятся. Довольно часто встречается двойное или многоразовое шифрование, либо для шифрования используются онлайн- или оффлайн-ключи. Также шифровальщики могут друг за другом зашифровать файлы. В результате чего на один дешифруемый файл накладывается подобное или совершенно другое шифрование, а файл становится потерянным навсегда. Будьте внимательны и благоразумны! 

 Если какой-то из этих пунктов вызывает у вас трудности, пожалуйста, не стесняйтесь попросить о помощи. Наша помощь оказывается без каких-то условий и является бесплатной для читателей и подписчиков. Используйте форму обратной связи (см. ниже этой статьи). 

Вам могут быть полезны статьи: 
"Комплекс мероприятий для защиты от Ransomware"
"Бесплатные программы и майнинг криптовалюты".
"Актуальная защита персонального компьютера"


Что делать дальше? 


Рекомендую сначала свериться с моим списком дешифровщиков и при удачной находке, ознакомившись до начала дешифрования с "Общими рекомендациями" (на втором сайте), попробовать дешифровать несколько файлов, предварительно прочитав инструкции по использованию конкретного дешифровщика. Это важно, потому что могут быть различия на начальном этапе. 

Если вы идентифицировали крипто-вымогателя (шифровальщика) с помощью этого сайта или сервиса ID Ransomware, то вы можете ещё выбрать, где получить бесплатную 
или даже платную помощь, если бесплатная невозможна:

1) форум бесплатной помощи и дешифровки на сайте BleepingComputer (о нём рассказано выше).

2) форум бесплатной помощи и дешифровки на сайте Emsisoft;
Эти форумы на английском языке. Google-переводчик вам в помощь.

3) KasperskyClub - форум бесплатной помощи после атаки шифровальщиков. Форум на русском языке. Администрация строгая, но хелперы опытные.

4) форум Dr.Web и служба платной помощи после атаки шифровальщиков.
а) запрос на английском языке; б) запрос на русском языке;

5) обращение к Emmanuel_ADC-Soft, партнёру Dr.Web или ко мне, через форму обратной связи (см. ниже этой статьи).


Верните свои файлы!

!!! Обязательно сообщите хелперам название идентифицированного здесь крипто-вымогателя (шифровальщика). Сохраните и передайте им записку о выкупе. 
!!! ВНИМАНИЕ, если вы обратились за помощью на один из этих форумов, то терпеливо ждите ответа и результатов анализа, не покидайте форум и не переставляйте систему. Это в ваших интересах. Подробности в начале этой статьи. 

*| По моим данным, среди русскоязычных форумов по оказанию бесплатной помощи мало достойных этого списка. Никого не хочу обидеть, но пользователи сообщают мне, что на других форумах им грубят, удаляют их сообщения, блокируют аккаунты без объяснения причин, в том числе грубят некоторые представители администрации. Мы с помощниками провели проверки и факты произвола подтвердились. По факту такую "помощь" и помощью назвать нельзя. Можно было бы назвать эти форумы и этих людей, но оказалось, что многие небезгрешны... Всё же многое зависит от вас, дорогие пользователи, как говорится, "в чужой монастырь со своим уставом не ходят". 

У вас есть достойные кандидатуры российских сайтов по оказанию помощи и дешифровке? 
Присылайте нам свои предложения и ссылки, рассмотрим варианты. 
Добавляйте в комментарии или форму обратной связи. Мы проверим. 
Если вам не по нраву обращение на любые форумы, выбирайте выше 5 пункт

----
В благодарность за статью вы можете сделать перевод на любую сумму на карту Сбербанка России. 


-----

 Read to links: 
 First steps when dealing with Ransomware (копия)
 Ransomware Help & Tech Support (BleepingComputer)
 Help, my files are encrypted! (ex-forum Emsisoft)
 Identify Ransomware, List of Crypto-Ransomware
 Ссылки для чтения: 
 Первые шаги после атаки Ransomware (копия)
 Помощь и техподдержка пострадавших (BleepingComputer)
 ID Ransomware, Список шифровальщиков-вымогателей
 Thanks: 
 Fabian Wosar, David Biggar (Emsisoft)
 Lawrence Abrams (BleepingComputer)
 Michael Gillespie (ID Ransomware)

© Amigo-A (Andrew Ivanov): All blog articles.

Meteoritan

Meteoritan Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать сколько заплатить и как вернуть файлы. Оригинальное название. Разработчик: windo из Польши. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Meteoritan > Locker-Pay

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
where_are_your_files.txt
readme_your_files_have_been_encrypted.txt
Различаются по названию, но имеют идентичное содержание. 

 

Содержание записок о выкупе:
ATTENTION! ATTENTION! You have been victim of METEORITAN RAMSOMWARE!
Your documents, photos, databases and other important files have been encrypted by RSA-4096 alghorythm generated by your computer, if you want to restore your files, you must get a decryption key.
How can I get decrypt key?
1. Send E-Mail to meteoritan6570@yandex.ru with your ID. Your ID is in METEORITAN.POLAND file, open in Notepad.
2. Get Bitcoins. Bitcoin is a cryptovalute, which can pay. Use these sites: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. In e-mail turning, we get a value of your key. Pay it.
4. In 24 hours you get an decrypt key. If you don't see e-mail, check spam catalogue.
5. Run aplication and enter your key.
METEORITAN RAMSOMWARE

Перевод записок на русский язык:
ВНИМАНИЕ! ВНИМАНИЕ! Вы стали жертвой METEORITAN RAMSOMWARE!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с алгоритмом RSA-4096, созданным вашим компьютером, если хотите вернуть ваши файлы, вы должны получить ключ дешифрования.
Как получить ключ дешифрования?
1. Отправить E-Mail на meteoritan6570@yandex.ru с вашим ID. Ваш ID находится в файле METEORITAN.POLAND, откройте в Блокноте.
2. Получить биткоины. Bitcoin - это криптовалюта, которой можно платить. С помощью этих сайтов: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. В email мы получаем значение ключа. Заплатите за это.
4. В 24 часа вы получите ключ дешифрования. Если вы не видите email, проверьте папку Спам.
5. Запустите и введите ваш ключ.
METEORITAN RAMSOMWARE

Записки с требованием выкупа дополняются двумя файлами METEORITAN.POLAND и METEORITAN.RAMSOM. Первый содержит ID, а второй - ключ дешифрования. 

Крипто-вымогатель еще запускает выступает экран, имитирующий административное извещение (красные буквы на чёрном фоне). 
 

Содержание главным образом повторяет текстовые записки, но содержит интересную фразу:
Send E-Mail to meteoritan6570@yandex.ru with your ID. Your ID is in METEORITAN.POLAND file. Open in Notepad.

Перевод на русский:
Отправьте email на 
meteoritan6570@yandex.ru с вашим ID. Ваш ID в файле METEORITAN.POLAND. Открыть в Блокноте. 

Текстовая записка и это извещение запускаются командой:
%WINDIR%\system32\cmd.exe /c start where_are_your_files.txt
%WINDIR%\system32\cmd.exe /c title METEORITAN RAMSOMWARE - YOUR FILES HAVE BEEN ENCRYPTED!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ramsomware.exe
where_are_your_files.txt
readme_your_files_have_been_encrypted.txt
METEORITAN.POLAND -  файл содержит ID;
METEORITAN.RAMSOM - файл содержит ключ дешифрования. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
GLOBAL__sub_I_locale_inst.cc
GLOBAL__sub_I_wlocale_inst.cc
yandex.ru
bad_alloc.cc
bad_array_length.cc
bad_array_new.cc
bad_cast.cc
bad_typeid.cc
basic_file.cc
c++locale.cc
class_type_info.cc
codecvt.cc
codecvt_members.cc
coinbase.com, btc.com, bitgo.com, strongcoin.com
collate_members.cc

compatibility.cc
и другие, см. ниже результаты анализов.
Email: meteoritan6570@yandex.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Meteoritan)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *